安装来自淘宝、支付宝相关的软件、控件会在用户系统内生成一个AlibabaProtect.exe常驻进程服务。这个服务目前没有任何文档说明是干什么用的,而且会占用用户一定的CPU计算资源,如果用户使用的是笔记本,通常会导致在没开任何程序的情况下,散热风扇起转、产生烦心的噪音等困扰。该进程可能还监控上网行为;精准广告投放!比QQprotect还流氓!
进程根本杀不掉,因为它是驱动级启动的
发现AlibabaProtect.exe会监控全磁盘的文件变动,注意是全磁盘,但是一般轻易发现不了,因为速度非常快。但是有些时候还是会露马脚。比如,会导致移动储存设备盘符一直被锁定,即便几个小时不用也无法正常从系统删除。还有,当一个纯作为储存用途的文件夹(未关联任何程序),内部文件过于数量庞大时(数量上万,体积超过200GB),快速的连续修改这个文件夹的名字,除第一次外,后面有机会出现“当前文件夹被占用”的情况,一般这个时间很短,间隔1-2秒就可正常修改,所以要快速的连续修改名字才会出现。
给这个文件夹取个不常见的名字,然后快速的做些重命名,当弹窗文件占用的时候不要点,保持系统中断状态,然后不需要借助任何软件,使用win10自带的资源监视器,在关联句柄那里可以直接搜这个文件夹名中的关键字,不出意外,你就会搜到AlibabaProtect.exe正在访问这个路径下的某个文件。
用火绒添加AlibabaProtect的访问规则限制,分分钟几千次扫描文件的行为!
尝试使用火绒干掉他
因为它是一个服务,所以就想着火绒是否可以快速的结束它。
找到了该项,设置为禁止启动,然后重启。
最终结果:无效。
到这里更加加深了我的恐惧,究竟是什么样的程序,怎么样的启动方式,居然通过常规手段无法禁止它启动。
接下来就干掉它!
1. Windows+R运行打开%systemroot%\system32\drivers目录,找到AliPaladin*.sys文件,用火绒粉碎它!
2. 管理员模式打开cmd,输入 sc delete AlibabaProtect 回车,删除AlibabaProtect服务,得到成功的提示。
3. 重启电脑,任务管理器中alibabaprotect进程和服务已经消失。
4. 进入C:\Program Files (x86)目录,删除AlibabaProtect整个目录下的所有文件,并将这个目录权限设置成只读和拒绝访问。
5. 享受清净!
AlibabaProtect.exe的流氓性描述
有网友将其描述为监视与间谍软件。
有网友发现AlibabaProtect是以驱动的方式加载的,无法删除。
有网友发现AlibabaProtect扫描磁盘。并且指出了两个现象,一个是U盘、移动硬盘等设备在弹出后,磁盘符并没有消失,表明有程序正占用该磁盘;另一个是对文件夹进行快速频繁的重命名操作时,有时会发生错误,发现AlibabaProtect在占用磁盘。(在安装阿里旺旺后,删除AlibabaProtect之前,我弹出U盘,盘符确实会停留一段时间,而且我似乎也跟踪到了它在扫描磁盘文件)
有网友发现AlibabaProtect占用网络,每天上传的数据有7-8MB。
有网友发现即使在服务中禁用AlibabaProtect.exe服务,其仍可以变为启用状态。(看了下我电脑上的AlibabaProtect服务,连禁用按钮都不让按,只能眼睁睁看着它扫描磁盘、上传数据)
按照以上描述,我认为AlibabaProtect是一个流氓进程。虽然官方描述好像是更新和维护阿里的程序,但它确实是扫描了我的磁盘,还占用了大量的CPU资源。可疑的是,AlibabaProtect的安全级别很高,它伪装成驱动程序,难以删除。一般软件的更新等进程根本不需要这样,极有可能是AlibabaProtect想赖在电脑里不想走,以便达成某些不能见光的目的。
转载自ldqk.org
原创文章,作者:Rosmontics,如若转载,请注明出处:https://rosmontis.com/archives/18
